sous hijack, je vois ca qui apparait
 
O1 - Hosts: 69.20.16.183 auto.search.msn.com  
O1 - Hosts: 69.20.16.183 search.netscape.com  
O1 - Hosts: 69.20.16.183 ieautosearch  
 
je crois que c la cause de ces fenetres qui s'affichent meme explorer eteint, ou me redirige qd je cherche qq chose.
Seul probleme, je les fix et ils reviennet toujours!!!!
que faire

tu as passé spybot et adware ?

yes, je supprime mais ca revient toujours

même problème non résolu sur :
 
http://forum.hardware.fr/forum2.ph [...] 0&subcat=0
 
http://forum.hardware.fr/forum2.ph [...] 0&subcat=0
 
http://forum.hardware.fr/forum2.ph [...] 0&subcat=0

Il n'y a pas de solution actuellement.
 
Le fait que les VX2Finder trouvent toujours une chaîne incite à penser qu'il s'agit d'une nouvelle variante de Look2Me. Mais les outils actuels ne permettent pas de s'en débarrasser.
 
Un peu de patience.

bonjour
et supprimer ce fichier host en mode sans échec?  
O1 - Hosts: 69.20.16.183 auto.search.msn.com  
O1 - Hosts: 69.20.16.183 search.netscape.com  
O1 - Hosts: 69.20.16.183 ieautosearch  
 
bibi2002 si tu mettais ton log hijack ici svp ?

Salut,
Meme pb et je commence a perdre patience, le format c: n'est pas loin... J'ai mon log hijack ici, je sais qu'il y a en plus des trois lignes 01-Hosts:69.20.16.183 une ou plusieurs lignes qui permettent a ces sal....ies de revenir a la charge regulierement. Le fait est que le systeme s'arrete tout seul pour relancer le processus. J'ai essaye de stopper le PC en debranchant, puis de faire tourner adaware, spysweeper, spybot, spysubtract... puis quelques antivirus. Le tout en safe mode et en mode normal, mais la m...e est toujours la et ca colle bien!
Y-a-t-il quelqu'un qui peut dechifrer mon log et me dire quelles sont les lignes secretes???? a supprimer, deleter, foutre en l'aire, envoyer par le fonds...
 
Logfile of HijackThis v1.98.2
Scan saved at 22:31:53, on 04/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\ahead\InCD\InCD.exe
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\e-Wallet\InterPay.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\My Downloads\trojan\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ABN AMRO e-Wallet] C:\Program Files\e-Wallet\InterPay.exe  /dontopenmycards
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [glgbalyv] C:\WINDOWS\glgbalyv.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: Interpay - %VAR_IE_TOOLBAR_BUTTON_GUID% - C:\Program Files\e-Wallet\InterPay.exe
O9 - Extra button: @C:\Program Files\Failsafe\GuardIE\PnIE.dll,-100 - {BDD75188-2FC0-4099-909F-AA8D432BE037} - C:\Program Files\Failsafe\GuardIE\PnIE.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Failsafe\GuardIE\PnIE.dll,-100 - {BDD75188-2FC0-4099-909F-AA8D432BE037} - C:\Program Files\Failsafe\GuardIE\PnIE.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/ [...] ctlcab.CAB
O16 - DPF: {0990D180-4226-4530-9777-AB82315505B9} - https://ewallet.abnamro.nl/AABdownload/oinstall.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/ [...] canner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter [...] cssweb.cab
 

bonsoir
 
tu peux effacer sans problème les lignes suivantes :
  O1 - Hosts: 69.20.16.183 auto.search.msn.com        
   O1 - Hosts: 69.20.16.183 search.netscape.com      
   O1 - Hosts: 69.20.16.183 ieautosearch      
   O4 - HKLM\..\Run: [glgbalyv] C:\WINDOWS\glgbalyv.exe
   O4 - HKCU\..\Run: [Tsa2]      
   O16 - DPF: ppctlcab -  
   O16 - DPF: {0990D180-4226-4530-9777-AB82315505B9} - https://ewallet.abnamro.nl/AABdownload/oinstall.cab      
   O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) -  
   O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) -  
 
mais je ne pense pas que cela sera suffisant...
 
tu peux aussi essayer de mettre le fichier hosts
en lecture seule pour voir si les inscriptions
continuent à s'installer...
 
mais vu la complexité de cette malveillance
je doute du résultat.
 
essayer ne cassera rien de toute façon
et si cela fonctionnait !

Oui, coche et fixe ces O1
et
O4 - HKLM\..\Run: [glgbalyv] C:\WINDOWS\glgbalyv.exe  
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe  
 
et supprime :
C:\WINDOWS\glgbalyv.exe  
C:\PROGRA~1\COMMON~1\tsa <- le dossier
 
s'ils sont toujours là.
 
Pas de vraie solution pour l'instant.
 
Rectification : notre premier succès ici:
http://www.cybertechhelp.com/forum [...] hp?t=59683
 
Mais maintenant, il va fallor dégager une procédure...la plus simple possible.

bravo acrobaze
mais je compte sur toi pour degager une soluce de ces 3 pages car l anglais et moi cela fait deuxet si je doit me servir des traducteur pour cela sa vas etre coton
mais je vais quand meme essayer de me pencher dessus mais pas trop fort
   

Oups j'me suis endormi... Merci je vais essayer tout ca et faire un saut sur le site de cybertechhelp. Bonne chance a balltrap34 aussi!

 
J'avais la meme probleme et la reponse m'a ete apportee sur le site http://www.short-media.com/forum/f [...] ne=30&f=57
le forum Spyware/Virus/Trojan Discussion et le sujet "Home search assistant does not fix my problem" en page 2. Le gars qui a pris en charge mon spyware etait vraiment competent. Alors si tu peux communiquer en anglais je te conseille d'y faire un tour.
Bonne chance